20亿EDU币被盗?形式化验证一键检错!

2018 年 5 月 24 日 硅谷第一线



硅谷Live / 实地探访 热点探秘 / 深度探讨



CertiK:智能合约和区块链系统的形式化验证平台

 

区块链时代,智能合约的安全性被无限放大,一个小小的bug就能导致上亿美元的损失。EduCoin(EDU)近日被爆出智能合约存在安全漏洞,可被黑客利用盗取任意地址的EDU。几天内20亿枚EDU被盗,引发价格闪崩,甚至牵连整个币市。

 

EDU到底出了什么安全漏洞?


这个安全漏洞其实非常容易被检测!EDU智能合约中一transferFrom函数, 主要目的是实现EDU的转账: 将一定数量(_value)的EDU从源地址(_from)转账到接收地址 (_to):



然而此函数并未检查转账的合法性:

allowed[_from][msg.sender] -= _value; 

 

因此,即使要转出的金额超过了允许的限制 (allowed[_from][msg.sender]),转账也能成功。黑客就是利用这个漏洞将任意地址的EDU无限制地转到自己的账户。也就是说,任何EDU币持有者都会面对被洗劫一空的风险。从5月23日起,已有超过20亿EDU被盗。

 

用CertiK一键检测漏洞,让漏洞无处藏身

 

事后看来,EduCoin这个看似是个愚蠢的安全漏洞,其实很容易被忽略,而智能合约上一个小小疏忽,就能导致上千万甚至上亿的损失。

 

形式化验证技术能有效检测安全漏洞并避免类似错误的产生。小编带你们来看看CertiK的自动化验证平台是如何一键查错的。


CertiK的验证引擎能够轻易的检测到EDU的安全漏洞

 

我们只需要将这段代码提交到CertiK的验证引擎,CertiK就能够在24.9ms内一键检测到EDU的安全漏洞。如果EDU的智能合约在提交之前能够利用CertiK做代码检查,那么这些损失是完全可以被避免的。



关于CertiK


CertiK 致力于通过全球领先的形式化验证技术重构大家对于智能合约和区块链的信任。CertiK 能提供最有竞争力的规模化智能合约验证服务来保证智能合约和区块链系统的安全性。

 

CertiK 是来自于耶鲁大学,哥伦比亚大学和硅谷的精英团队,联合创始人邵中是耶鲁大学计算机系系主任/终身教授,20余年安全领域经验。联合创始人顾荣辉,哥伦比亚大学助理教授。

 

请关注CertiK的电报群https://t.me/certikorg, 关于商务合作欢迎联系info@certik.org。




推荐阅读

区块链报告 脑机接口报告 

硅谷人工智能 | 斯坦福校长

卫哲 | 姚劲波 | 胡海泉 

垂直种植 | 无人车

王者荣耀 | 返老还童 




登录查看更多
2

相关内容

【CVPR2020-北京大学】自适应间隔损失的提升小样本学习
专知会员服务
83+阅读 · 2020年6月9日
专知会员服务
30+阅读 · 2020年5月20日
【普林斯顿大学-微软】加权元学习,Weighted Meta-Learning
专知会员服务
39+阅读 · 2020年3月25日
【大规模数据系统,552页ppt】Large-scale Data Systems
专知会员服务
60+阅读 · 2019年12月21日
【大数据白皮书 2019】中国信息通信研究院
专知会员服务
137+阅读 · 2019年12月12日
关系图谱在贝壳找房风控体系的应用与实践
DataFunTalk
49+阅读 · 2020年2月12日
GroupSoftmax:利用COCO和CCTSDB训练83类检测器
极市平台
12+阅读 · 2019年9月25日
一文助你从零搭建自动交易系统,用Python玩转ML与量化
七月在线实验室
12+阅读 · 2019年9月10日
区块链隐私保护研究综述——祝烈煌详解
计算机研究与发展
22+阅读 · 2018年11月28日
赛尔原创 | 基于文本蕴含识别的答案验证技术研究
哈工大SCIR
9+阅读 · 2018年11月19日
形式化方法的研究进展与趋势
中国计算机学会
35+阅读 · 2018年11月8日
边缘计算:万物互联时代新型计算模型
计算机研究与发展
14+阅读 · 2017年5月19日
Advances in Online Audio-Visual Meeting Transcription
Arxiv
4+阅读 · 2019年12月10日
Object Detection in 20 Years: A Survey
Arxiv
48+阅读 · 2019年5月13日
Arxiv
12+阅读 · 2019年4月9日
Arxiv
19+阅读 · 2018年5月17日
Arxiv
8+阅读 · 2018年1月30日
Arxiv
12+阅读 · 2018年1月12日
VIP会员
相关资讯
关系图谱在贝壳找房风控体系的应用与实践
DataFunTalk
49+阅读 · 2020年2月12日
GroupSoftmax:利用COCO和CCTSDB训练83类检测器
极市平台
12+阅读 · 2019年9月25日
一文助你从零搭建自动交易系统,用Python玩转ML与量化
七月在线实验室
12+阅读 · 2019年9月10日
区块链隐私保护研究综述——祝烈煌详解
计算机研究与发展
22+阅读 · 2018年11月28日
赛尔原创 | 基于文本蕴含识别的答案验证技术研究
哈工大SCIR
9+阅读 · 2018年11月19日
形式化方法的研究进展与趋势
中国计算机学会
35+阅读 · 2018年11月8日
边缘计算:万物互联时代新型计算模型
计算机研究与发展
14+阅读 · 2017年5月19日
相关论文
Advances in Online Audio-Visual Meeting Transcription
Arxiv
4+阅读 · 2019年12月10日
Object Detection in 20 Years: A Survey
Arxiv
48+阅读 · 2019年5月13日
Arxiv
12+阅读 · 2019年4月9日
Arxiv
19+阅读 · 2018年5月17日
Arxiv
8+阅读 · 2018年1月30日
Arxiv
12+阅读 · 2018年1月12日
Top
微信扫码咨询专知VIP会员